El avance de la Inteligencia Artificial tiene muchos aspectos positivos para las PyMEs pero también trae aparejada una serie de riesgos en cuanto a la ciberseguridad.
miércoles 22 de abril de 2026
-
Temas del Día
Para continuar, suscribite a Somos Pymes. Si ya sos un usuario suscripto, iniciá sesión.
SUSCRIBITEPor qué los agentes sin control preocupan tanto a los expertos a la hora de proteger datos, contratos y clientes.
Un marco sencillo, visible y realista para el uso de las nuevas tecnologías.
El avance de la Inteligencia Artificial tiene muchos aspectos positivos para las PyMEs pero también trae aparejada una serie de riesgos en cuanto a la ciberseguridad.
Esto se da especialmente cuando se aplican herramientas no aprobadas ni supervisadas por los especialistas.
La Shadow AI (IA en la sombra) es el uso no autorizado o sin supervisión de herramientas de IA, como puede ser ChatGPT, por parte de colaboradores dentro de una organización.
Ocurre cuando se evaden los protocolos de TI (tecnologías de la información), lo que da paso a graves de fuga de datos, propiedad intelectual y seguridad.
En una charla con Somos Pymes, Alan Mai, CEO y founder de Bloka, explicó por qué en empresas chicas el problema puede ser más delicado y el impacto puede tener sobre datos, procesos y seguridad.
El experto en ciberseguridad hizo foco en las señales de alerta y medidas simples para adoptar IA sin frenar la innovación, ni comprometer información sensible.
En eseaspecto, Bloka es un Proveedor de Servicios de Seguridad Gestionada (MSSP) dedicado a proteger a las empresas de los países hispanohablantes contra las crecientes ciberamenazas.
"Cuando hablamos de 'shadow AI' hacemos referencia al uso de herramientas de Inteligencia Artificial (sobre todo Generativa y/o agentes que automatizan tareas) por parte de colaboradores o equipos sin conocimiento, aprobación, procesos ni gobernanza del área de IT o Ciberseguridad", ilustró el especialista.
"El problema es que ese uso 'por afuera' hace que la institución o empresa no tenga visibilidad sobre qué datos se cargan, qué permisos se conceden y qué decisiones está tomando esa herramienta", diagnosticó.
En esa línea, subrayó: La alarma de ciberseguridad se prendió porque ya no estamos frente a un simple chatbot para consultar ideas. Hoy muchas de estas herramientas se conectan con el email, con documentos internos, el CRM, navegadores... Eso significa que pueden ver, resumir, mover o exponer información sensible".
"Y además introducen otros riesgos como fuga de datos, abuso de privilegios, prompt injection y más", precisó.
¿Qué efecto puede tener hoy este uso no supervisado? "Hoy el impacto más concreto es la pérdida de control sobre la información", contestó Mai.
"Un colaborador puede cargar datos de clientes, contratos, reportes internos, código fuente o credenciales en una herramienta IA no aprobada, sin tener conocimiento ni dimensión sobre a dónde va esa información sensible, qué se hace con ella, si se usa para entrenamiento, o qué terceros intervienen. Y el riesgo no desaparece solo por usar una herramienta conocida", ilustró.
"Después hay un segundo nivel: decisiones operativas tomadas en base a resultados no validados. Si una IA resume mal cierta información, o recomienda mal o automatiza una acción con permisos excesivos, el problema pasa a impactar procesos, compliance, atención al cliente, finanzas o seguridad", continuó.
"A medida que se usen más y más los agentes autónomos, el riesgo aumenta porque vamos a tener más herramientas actuando sobre sistemas reales y menos personas revisando cada paso", completó.
Según el creador de Bloka, "lo primero es entender que el camino no es prohibir. Si una empresa responde solo bloqueando herramientas, el uso se vuelve más invisible".
"Lo primero que hay que hacer es ganar visibilidad: saber qué herramientas se están usando, qué equipos las usan, con qué frecuencia y para qué casos", aconsejó
"Y después hay que ordenar y comunicar de forma clara: las herramientas IA aprobadas, reglas claras sobre qué tipo de información se puede o no cargar, revisión de permisos e integraciones, y capacitación práctica", advirtió.
"Es clave que cada colaborador comprenda los alcances y riesgos de cargar información sensible en este tipo de herramientas", enfatizó.
En otras palabras: hay que habilitar con control, no frenar la adopción.
Al segmentar el problema, Mai alertó que "en una PyME todo está más concentrado: menos personas, menos controles, menos tiempo para revisar".
"Muchas veces una misma persona resuelve ventas, administración, atención al cliente y operaciones. En ese contexto, una herramienta de IA no aprobada puede terminar accediendo a información crítica del negocio sin que nadie se de cuenta", describió el especialista.
Las empresas del sector suelen adoptar tecnología con mucha velocidad porque necesitan ganar eficiencia.
"Eso tiene lógica, pero sin controles mínimos puede generar dependencia de herramientas que nadie evaluó, automatizaciones mal configuradas o exposición innecesaria de datos sensibles. Como decía antes, el uso seguro de IA requiere gobernanza, control de datos y monitoreo, algo que en estructuras chicas suele estar menos formalizado", postuló.
"Por eso, en PyMEs el shadow AI no es un problema menor: puede volverse una puerta de entrada directa a errores operativos, incidentes de privacidad o fraudes", amplió al respecto.
En el cierre de la charla con Somos Pymes, Mai dijo: "Hay varias señales muy claras" sobre la persistencia del fenómeno.
"Primero, cuando la herramienta pide más permisos de los necesarios: acceso completo al mail, archivos, contactos, calendario, nube o mensajes para una tarea que no lo justifica", observó el experto.
"Segundo, cuando no explica con claridad qué hace con los datos, cuánto tiempo los almacena, si se comparten con terceros o si se los usa para entrenamiento. Tercero, cuando se integra con todo por defecto y el usuario no puede limitar el alcance", añadió.
Y mencionó: "Otra señal importante es la falta de trazabilidad: si nadie puede auditar qué información se subió, quién autorizó la integración o qué acción ejecutó el asistente, ya hay un problema".
¿Qué medidas concretas, simples y accesibles se pueden tomar para empezar a usar IA sin exponerse a riesgos innecesarios?
_Definir 2 o 3 herramientas IA aprobadas, que sean útiles para las personas que van a usarlas, para así evitar que cada persona use una herramienta distinta por su cuenta.
_Comunicar a todos lo que entendemos por datos sensibles de la empresa (información de clientes, datos financieros, legales, credenciales, código, etc.) y prohibir la carga en las herramientas IA, excepto en casos y entornos específicamente validados.
_Siempre revisar los permisos e integraciones requeridas antes de conectar la IA con el mail, Drive, CRM o sistemas internos.
_Usar cuentas corporativas y no personales, para preservar lo más posible la trazabilidad.
_Siempre capacitar a los colaboradores (y con ejemplos y situaciones reales, no con teoría abstracta).
_Empezar con casos de uso de bajo riesgo: redacción, síntesis, ideas. No arrancar por ejemplo con una automatización de pagos, aprobaciones, contratos o decisiones críticas.
"La idea no es frenar la adopción. Es empezar por donde el beneficio sea alto y el riesgo, acotado. Hoy usar IA sin ninguna regla es riesgoso, pero usarla con un marco sencillo, visible y realista ya cambia muchísimo el escenario", concluyó Mai.
video
video